Red Hat Enterprise Linux 8 の Web Console(Cockpit)

1 Red Hat Enterprise Linux 8 の Web Console (Cockpit)
森若和雄 Solution Architect 2019-09

2 Copyright Red Hat K.K. All rights reserved. このスライドの位置付けと目的 •
対象 • GUIでLinuxを管理できると嬉しい人 • Linuxのデスクトップ環境を持ってないのでXが必要なGUI ツールを使うのは難しい人 • 目的 • RHELに同梱されていて各種サーバ管理に利用できるWeb UI を提供するCockpitを紹介

3 Copyright Red Hat K.K. All rights reserved. 概要 •
Web Console (Cockpit)とは? • Cockpit Packageによる機能拡張 • Cockpitのセキュリティ

4 Copyright Red Hat K.K. All rights reserved. Web Console
サーバ管理用のWeb UIを提供 • サービス管理 • アカウント管理 • ネットワーク管理 • ファイアウォール管理 • ストレージ管理 • ログ閲覧 • 仮想マシン管理 • 仮想端末などの管理機能を提供 https://cockpit-project.org/

5 Copyright Red Hat K.K. All rights reserved. Cockpitの特長 •
独自のDBや設定ファイルなどをほぼ持たない • dbus、ファイルアクセス、コマンド実行などへのアクセスを提供するバックエンドとブラウザからアクセスするjavascript APIを基盤とする • アクセス制御はPolicyKitにより実施 • 利用していない時にリソースを事実上消費しない • プラグイン形式での機能追加が容易 • ~/.local/ 以下に配置することで特定ユーザのみ利用可能 • Kerberosを利用したSSOに対応

6 Copyright Red Hat K.K. All rights reserved. Cockpitのインストール •
パッケージ導入 • yum install -y cockpit cockpit-dashboard • 証明書設置 • cp cockpit.cert /etc/cockpit/ws-certs.d/ • ファイアウォール設定 • firewall-cmd --add-port=9090/tcp • firewall-cmd --permanent --add-port=9090/tcp • 起動設定 • systemctl enable cockpit.socket • systemctl start cockpit.socket • ブラウザで接続 • firefox https://rhel8.corp.example.com:9090/ cockpitそのものの設定をしなくても動作します TLS用にCA局発行の証明書を配置します。なければ自己署名証明書が自動生成されます。

7 Copyright Red Hat K.K. All rights reserved. リモート管理 •
cockpitはブラウザが直接接続できないシステムも管理できる (cockpit- dashboardパッケージが必要) • cockpit同士でsshによる通信をおこなう • 踏み台サーバからsshによる接続ができればリモートのcockpitと直接通信できなくても管理できる • cockpitへログインしたユーザの権限でssh接続 HTTPS port 9090 SSH port 22 踏み台サーバ管理対象サーバ cockpit-ws cockpit-bridge

Cockpit Packageによる機能拡張

9 Copyright Red Hat K.K. All rights reserved. Cockpitの基本動作
• cockpit-wsが待受け • ブラウザでログイン • cockpit-bridgeがユーザ権限で起動 • cockpit-bridgeがdbus, pcp, プロセス実行などを行う • リモートへはsshで接続 https://raw.githubusercontent.com/cockpit-project/cockpit/master/doc/cockpit-transport.png

10 Copyright Red Hat K.K. All rights reserved. Cockpitを拡張するには? •
プラグイン(Cockpit Package)による拡張に対応 • dbusでのリクエストやコマンド実行、ファイル読み出し等を行うjavascript用APIを提供コマンド実行 cockpit.spawn([“ping”, “8.8.8.8”]) ホスト名取得 proxy = cockpit.dbus(“org.freedesktop.hostname1”).proxy() ファイル内容取得 file = cockpit.file(“/etc/motd”, {})

11 Copyright Red Hat K.K. All rights reserved. Cockpit Packageとは?
以下のようなファイル群を配置することでCockpit内で利用する画面を作成する。 /usr/share/cockpit/ hoge/ パッケージ用ディレクトリ manifest.json メニュー内の場所、ラベルや関連ファイルなどを指定 hoge.html 表示するhtml hoge.js 操作を実装するjavascript

12 Copyright Red Hat K.K. All rights reserved. Cockpit Packageの配置場所
• ファイルを配置する場所が3箇所あり、オーバーライドできる 1. /usr/share/cockpit/* (rpm用、システム全体用) 2. /usr/local/share/cockpit/* (システム全体用) 3. ~/.local/share/cockpit/* (特定ユーザ用) • cockpit-bridge --packages コマンドで(実行したユーザにとっての) Cockpit Package一覧を表示 • manifest.jsonで同じ名前を宣言した場合、manifest.json内の priorityの値が大きい方が優先される

13 Copyright Red Hat K.K. All rights reserved. 個人用にCockpit Packageを作ってみる
• インストール先ディレクトリ作成 • mkdir -p ~/.local/share/cockpit/ • cockpitのソースコードを取得 • git clone https://github.com/cockpit-project/cockpit.git • シンボリックリンク作成 • cd cockpit/examples/ • ln -s ${PWD}/pinger ~/.local/share/cockpit/ • ブラウザでcockpitへ接続(または再ログイン) • メニュー上の“Pinger”メニューでpingコマンド実行

15 Copyright Red Hat K.K. All rights reserved. Cockpit Packageの
参考文献 • cockpit projectのTutorialカテゴリ • https://cockpit-project.org/blog/category/tutorial.html • cockpitプロジェクトのソースコード • https://github.com/cockpit-project/cockpit/ • 本格的なpluginのひな型 “Starter Kit” • rpmパッケージ化、テストケース実行, 一般公開に対応 • https://github.com/cockpit-project/starter-kit • Cockpitドキュメント内 “Developer Guide” • https://cockpit-project.org/guide/latest/development.html

Cockpitのセキュリティ

17 Copyright Red Hat K.K. All rights reserved. よくある(?)「Webコンソール」のイメージ(偏見) •
外部コマンド実行やファイル変更をroot 権限で実施 • 「root権限で何でもできるプロセス」 • 複雑になり、バグが深刻な問題につながる • 独自の権限管理設定やDBが必要 root権限で何でもできるプロセス httpd 権限管理外部プロセス外部プロセスファイル UI DB

18 Copyright Red Hat K.K. All rights reserved. cockpitは? •
ログインしたユーザの権限で実施 • root権限利用はセッション開始時のみ • OSの権限管理をそのまま使う cockpit-session root権限で動作ログイン処理外部プロセス外部プロセスファイル UI cockpit-bridge ユーザ権限で何でもやる cockpit-ws ログインと接続 pam GSSAPI OSの権限管理生成認証情報リクエスト

19 Copyright Red Hat K.K. All rights reserved. ログイン時の動作 1.
cockpit-wsがログイン画面を表示 2. 認証情報を送付 • ID+Password • GSSAPI 3. cockpit-sessionを実行 4. PAMで認証 5. 認証ユーザでcockpit-bridgeを実行 6. 以下チェックのある場合pkexecで root権限のcockpit-bridgeを起動 cockpit-session root権限で動作ログイン処理 cockpit-bridge ユーザの権限で何でもやる cockpit-ws ログインと接続 pam GSSAPI 生成リクエストデフォルトではwheelグループのユーザのみ成功 cockpit-bridge --privilege rootユーザの権限で何でもやる生成認証情報

20 Copyright Red Hat K.K. All rights reserved. ログイン後 •
ブラウザ上のjavascriptとcockpit-bridge(およびcockpit-bridge --privilege)が通信 • cockpit-bridge本体と、packageと呼ばれるプラグインがdbus, REST API, プロセス実行など各種の操作を実施。通常のユーザ権限管理をそのまま利用。 cockpit-session セッション管理だけ外部プロセス外部プロセスファイル UI cockpit-bridge ユーザの権限で何でもやる cockpit-ws ログインと接続 OSの権限管理

21 Copyright Red Hat K.K. All rights reserved. Cockpitに関連したセキュリティ上の注意点 •
SELinuxのポリシーも準備されているのでできれば使う • enforcingで使うことでcockpit-wsやcockpit-sessionに未知の脆弱性があった場合にも任意プロセス実行などを予防する • 自己署名証明書の利用はお勧めしません • ブラウザとcockpit-ws間の通信路が信頼できてはじめて安全な仕組み • 後述のIdentity Managementとの統合で証明書の自動発行が可能 • 特権取得にPolicyKitを利用している • systemdでも利用するがサーバ管理時に気にしないケースが多いので注意 • 一部操作を制限したい場合は /etc/polkit-1/rules.d/*.rules でポリシー定義をおこなう。ポリシー制限の粒度はサービスによる。

22 Copyright Red Hat K.K. All rights reserved. Identity Managementとの統合
• RHEL同梱のRed Hat Identity Managementと統合されています • IdMが管理するドメインにサーバが参加していれば以下が可能 • Web Consoleのリモート管理で利用するssh接続をシングルサインオン(SSO)で処理 • Web Consoleで利用するサーバ証明書を自動発行し自己署名証明書の利用なし

23 Copyright Red Hat K.K. All rights reserved. まとめ •
RHELの管理を簡単にするWeb Consoleは、簡単に利用できるだけでなくセキュリティにも配慮して開発されています • ログイン時に最小の特権だけを利用 • 特権を利用する範囲についてSELinuxで制限が可能 • 実績があるPolicyKitなど枯れた技術を活用 • Identity Managementと統合されています

24 Copyright Red Hat K.K. All rights reserved. • RHEL8ドキュメント「Web
コンソールを使用したシステムの管理」 • https://bit.ly/rhel8-webconsole-ja2 • Cockpitプロジェクトblog「Is Cockpit Secure?」 • https://cockpit-project.org/blog/is-cockpit-secure.html • Cockpitプロジェクトドキュメント「Single Sign On」 • https://cockpit-project.org/guide/latest/sso.html Cockpitのセキュリティ参考文献

Red Hat Enterprise Linux 8 の Web Console(Cockpit)

Red Hat Enterprise Linux 8 の Web Console(Cockpit)

Kazuo Moriwaka

More Decks by Kazuo Moriwaka

Other Decks in Technology

Featured

Transcript

1 Red Hat Enterprise Linux 8 の Web Console (Cockpit)

2 Copyright Red Hat K.K. All rights reserved. このスライドの位置付けと目的 •

3 Copyright Red Hat K.K. All rights reserved. 概要 •

4 Copyright Red Hat K.K. All rights reserved. Web Console

5 Copyright Red Hat K.K. All rights reserved. Cockpitの特長 •

6 Copyright Red Hat K.K. All rights reserved. Cockpitのインストール •

7 Copyright Red Hat K.K. All rights reserved. リモート管理 •

Cockpit Packageによる機能拡張

9 Copyright Red Hat K.K. All rights reserved. Cockpitの基本動作

10 Copyright Red Hat K.K. All rights reserved. Cockpitを拡張するには? •

11 Copyright Red Hat K.K. All rights reserved. Cockpit Packageとは?

12 Copyright Red Hat K.K. All rights reserved. Cockpit Packageの配置場所

13 Copyright Red Hat K.K. All rights reserved. 個人用にCockpit Packageを作ってみる

14 Copyright Red Hat K.K. All rights reserved.

15 Copyright Red Hat K.K. All rights reserved. Cockpit Packageの

Cockpitのセキュリティ

17 Copyright Red Hat K.K. All rights reserved. よくある(?)「Webコンソール」のイメージ(偏見) •

18 Copyright Red Hat K.K. All rights reserved. cockpitは? •

19 Copyright Red Hat K.K. All rights reserved. ログイン時の動作 1.

20 Copyright Red Hat K.K. All rights reserved. ログイン後 •

21 Copyright Red Hat K.K. All rights reserved. Cockpitに関連したセキュリティ上の注意点 •

22 Copyright Red Hat K.K. All rights reserved. Identity Managementとの統合

23 Copyright Red Hat K.K. All rights reserved. まとめ •

24 Copyright Red Hat K.K. All rights reserved. • RHEL8ドキュメント「Web

25 Copyright Red Hat K.K. All rights reserved. Thank You